常用 Microsoft Defender for Cloud Apps 信息保護原則

Defender for Cloud Apps 檔案原則可讓您強制執行各種自動化程式。 您可以設定原則來提供信息保護，包括持續合規性掃描、合法電子檔探索工作，以及公開共用敏感性內容的 DLP。

Defender for Cloud Apps 可以根據超過20個元數據篩選器來監視任何文件類型，例如存取層級和檔類型。 如需詳細資訊，請參閱 檔案原則。

偵測並防止外部共用敏感數據

偵測具有個人識別資訊或其他敏感數據的檔案何時儲存在雲端服務中，並與貴組織外部違反貴公司安全策略的用戶共用，並造成潛在的合規性缺口。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 將 [ 存取層級] 篩選條件設定為 [ 公用 (因特網]) /[公用/ 外部]。

3. 在 [ 檢查方法] 底下，選 取 [數據分類服務 (DCS) ]，然後在 [ 選取類型 ] 下，選取您要 DCS 檢查的敏感性信息類型。

4. 設定觸發警示時要採取的 治理 動作。 例如，您可以建立在 Google Workspace 中偵測到的檔案違規執行的治理動作，您可以在其中選取 [ 移除外部使用者 ] 和 [ 移除公用存取] 選項。

5. 建立檔案原則。

偵測外部共用的機密數據

偵測標籤標為 機密 且儲存在雲端服務中的檔案何時與外部使用者共用，違反公司原則。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• 啟用 Microsoft Purview 資訊保護整合。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 將篩選敏感度標籤設定為 Microsoft Purview 資訊保護 等於機密標籤或貴公司的對等專案。

3. 將 [ 存取層級] 篩選條件設定為 [ 公用 (因特網]) /[公用/ 外部]。

4. 選擇性：設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。

5. 建立檔案原則。

偵測及加密待用敏感數據

偵測檔案，其中包含個人識別資訊和其他在雲端應用程式中共用的敏感數據，並套用敏感度標籤，以限制只有您公司中的員工才能存取。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• 啟用 Microsoft Purview 資訊保護整合。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 在 [ 檢查方法] 底下，選 取 [數據分類服務 (DCS) ]，然後在 [ 選取類型 ] 下，選取您要 DCS 檢查的敏感性信息類型。

3. 在 [治理動作] 底下，核取 [ 套用敏感度卷標 ]，然後選取貴公司用來限制公司員工存取的敏感度標籤。

4. 建立檔案原則。

偵測來自未經授權位置的數據存取

根據貴組織的一般位置，偵測何時從未經授權的位置存取檔案，以識別潛在的數據外泄或惡意存取。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 活動原則。

2. 將篩選 活動類型 設定為您感興趣的檔案和資料夾活動，例如 檢視、 下載、 存取和 修改。

3. 設定 [ 位置 不等於] 篩選條件，然後輸入組織預期活動的來源國家/地區。

   • 選擇性：如果您的組織封鎖來自特定國家/地區的存取，您可以使用相反的方法，並將篩選條件設定為 [位置 等於]。

4. 選擇性：建立要套用至偵測到違規的 治理 動作 (服務) 之間的可用性有所不同，例如 暫停使用者。

5. 建立活動原則。

偵測及保護不符合規範 SP 網站中的機密數據存放區

偵測標記為機密且儲存在不符合規範的 SharePoint 網站中的檔案。

必要條件

敏感度標籤會在組織內設定和使用。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 將篩選敏感度標籤設定為 Microsoft Purview 資訊保護 等於機密標籤或貴公司的對等專案。

3. 設定 [ 父資料夾 不等於] 篩選，然後在 [ 選取資料夾 ] 底下，選擇組織中所有符合規範的資料夾。

4. 在 [ 警示] 底 下，選取 [為每個相符的檔案建立警示]。

5. 選擇性：設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。 例如，將 Box 設定為 將符合原則的摘要傳送給檔案擁有者 ， 並將 放在系統管理隔離中。

6. 建立檔案原則。

偵測外部共用原始程式碼

偵測包含可能為原始碼之內容的檔案何時公開共用，或與組織外部的用戶共用。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 選取並套用外部共用原始程式碼的原則範本

3. 選擇性：自 定義擴展名 清單，以符合組織的原始程式碼擴展名。

4. 選擇性：設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。 例如，在 Box 中， 將原則比對摘要傳送給檔案擁有者 ， 然後放入系統管理隔離區。

5. 選取並套用原則範本。

偵測未經授權的群組數據存取

偵測屬於特定使用者群組的特定檔案何時被不屬於群組的使用者過度存取，這可能是潛在的內部威脅。

必要條件

您必須至少有一個使用 應用程式連接器連線的應用程式。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 活動原則。

2. 在 [採取動作] 底下，選取 [ 重複活動 ] 並自定義 [ 最小重複活動 ]，並設定 時間範圍 以符合您組織的原則。

3. 將篩選 活動類型 設定為您感興趣的檔案和資料夾活動，例如 檢視、 下載、 存取和 修改。

4. 將篩選 [ 使用者 ] 設定為 [ 從] 群組 等於 ，然後選取相關的使用者群組。

   注意事項

   使用者群組可以從支援的應用程式手動匯 入。

5. 將篩選 [檔案和資料夾 ] 設定為 [ 特定檔案或資料夾 等於]，然後選擇屬於稽核使用者群組的檔案和資料夾。

6. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。 例如，您可以選擇 [ 暫停使用者]。

7. 建立檔案原則。

偵測可公開存取的 S3 貯體

偵測並防範來自 AWS S3 貯體的潛在數據外洩。

必要條件

您必須有使用 應用程式連接器連線的 AWS 實例。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 選取並套用 AWS) (可公開存取 S3 貯體的原則 範本。

3. 設定偵測到違規時要對檔案採取的 治理 動作。 可用的治理動作會因服務而異。 例如，將 AWS 設定為 [設為私用 ]，這會使 S3 貯體成為私用。

4. 建立檔案原則。

偵測和保護跨檔案記憶體應用程式的GDPR相關數據

偵測雲端記憶體應用程式中共用的檔案，並包含個人識別資訊和其他受GDPR合規性政策系結的敏感數據。 然後，自動套用敏感度標籤，只限制授權人員的存取權。

必要條件

• 您必須至少有一個使用 應用程式連接器連線的應用程式。

• Microsoft Purview 資訊保護整合已啟用，且已在 Microsoft Purview 中設定 GDPR 標籤

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 檔案原則。

2. 在 [ 檢查方法] 底下，選 取 [數據分類服務 (DCS) ]，然後在 [ 選取類型 ] 下選取一或多個符合 GDPR 合規性的資訊類型，例如：歐盟轉帳卡號碼、歐盟駕照號碼、歐盟國家/地區標識符、歐盟護照號碼、歐盟 SSN、SU 稅務標識符。

3. 藉由選取 [為每個支援的應用程式套用敏感度標籤]，設定在偵測到違規時要對檔案採取的治理動作。

4. 建立檔案原則。

實時封鎖外部用戶的下載

使用 Defender for Cloud Apps 會話控件實時封鎖檔案下載，以防止外部使用者外泄公司數據。

必要條件

請確定您的應用程式是使用 Microsoft Entra ID 進行單一登錄的 SAML 型應用程式，或已上線以 Defender for Cloud Apps 進行條件式存取應用程控。

如需支援應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 會話原則。

2. 在 [工作階段控制項類型] 底下，選 取 [控制檔案下載 (，檢查) 。

3. 在 [ 活動篩選] 底下，選取 [ 使用者 ]，並將它設定為 [ 從群組 ] 等於 [外部使用者]。

   注意事項

   您不需要設定任何應用程式篩選器，即可讓此原則套用至所有應用程式。

4. 您可以使用 [檔案] 篩選 器來自定義檔案類型。 這可讓您更細微地控制會話原則所控制的檔案類型。

5. 在 [ 動作] 底下，選取 [ 封鎖]。 您可以選 取 [自定義封鎖訊 息] 來設定要傳送給使用者的自定義訊息，讓他們了解內容遭到封鎖的原因，以及套用正確的敏感度標籤來啟用內容的方式。

6. 選取 [建立]。

即時對外部使用者強制執行唯讀模式

使用 Defender for Cloud Apps 會話控件實時封鎖列印和複製/貼上活動，防止外部使用者外泄公司數據。

必要條件

請確定您的應用程式是使用 Microsoft Entra ID 進行單一登錄的 SAML 型應用程式，或已上線以 Defender for Cloud Apps 進行條件式存取應用程控。

如需支援應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 會話原則。

2. 在 [工作階段控件類型] 下，選取 [ 封鎖活動]。

3. 在 [ 活動來源] 篩選中：

   1. 選 取 [使用者 ]，然後將 [ 從群組 ] 設定為 [ 外部使用者]。

   2. 選取 [活動類型 等於 列印 和 剪下/複製專案]。

   注意事項

   您不需要設定任何應用程式篩選器，即可讓此原則套用至所有應用程式。

4. 選擇性：在 [ 檢查方法] 下，選取要套用的檢查類型，並設定 DLP 掃描的必要條件。

5. 在 [ 動作] 底下，選取 [ 封鎖]。 您可以選 取 [自定義封鎖訊 息] 來設定要傳送給使用者的自定義訊息，讓他們了解內容遭到封鎖的原因，以及套用正確的敏感度標籤來啟用內容的方式。

6. 選取 [建立]。

封鎖即時上傳未分類的檔

使用 Defender for Cloud Apps 會話控件，防止使用者將未受保護的數據上傳至雲端。

必要條件

• 請確定您的應用程式是使用 Microsoft Entra ID 進行單一登錄的 SAML 型應用程式，或已上線以 Defender for Cloud Apps 進行條件式存取應用程控。

如需支援應用程式的詳細資訊，請參閱 支援的應用程式和用戶端。

• 您必須在組織內設定及使用來自 Microsoft Purview 資訊保護 的敏感度標籤。

步驟

1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下，移至 [原則 ->原則管理]。 建立新的 會話原則。

2. 在 [工作階段控件類型] 下，選取 [ 使用檢查) 控制檔案上傳 ( ]，或選取 [ 使用檢查) 控制檔案下載 (。

   注意事項

   您不需要設定任何篩選條件，即可讓此原則套用至所有用戶和應用程式。

3. 選取檔案篩選 條件 [敏感度標籤 不相等]，然後選取公司用來標記已分類檔案的標籤。

4. 選擇性：在 [ 檢查方法] 下，選取要套用的檢查類型，並設定 DLP 掃描的必要條件。

5. 在 [ 動作] 底下，選取 [ 封鎖]。 您可以選 取 [自定義封鎖訊 息] 來設定要傳送給使用者的自定義訊息，讓他們了解內容遭到封鎖的原因，以及套用正確的敏感度標籤來啟用內容的方式。

6. 選取 [建立]。

後續步驟

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。